思科亞太日本區資安長：企業因應雲端資安有5種態度，你家公司是哪一種？

國際非營利資安認證組織（ISC）²於5月9日在臺北舉辦「SecureTaipei 2017雲端時代下的資安應變之道」研討會，邀請行政院資通安全處長簡宏偉、思科亞太日本區資安總監江明灶、臺灣雲端安全聯盟理事長蔡一郎等資安專家，共同探討企業和政府機構如何強化網路防禦的應變能力，以及防護雲端服務所帶來的資安威脅。

思科亞太日本區資訊安全總監（CISO）江明灶在會議中指出，許多企業、政府機構在5年前不願意導入雲端服務，主要有資料外洩的疑慮，例如，新加坡金融管理局曾警告銀行機構，盡量不要使用雲端服務，恐造成金融相關的機密資料外洩。

然而，當今國際上已經制定了企業相關的雲端安全標準，如ISO27017、ISO27018等都著重在雲端資料的隱私保護。而且，隨著雲端服務的發展，部分國家也有建立雲端服務的指導方針，江明灶談到，目前新加坡政府建立多層次雲端安全標準（MTCS），每個雲端服務產品可以自願申請該安全標準認證。

企業需主動積極參與制定資安策略，才能提高企業資安防護的效率

但是，有些企業認為上傳至雲端服務的資料，如果遭駭客竊取或外洩出去，安全責任是歸屬雲端服務商，江明灶表示，雖然雲端服務企業提供公有雲（Public Cloud）服務給商業機構，但是雲端服務內的資料安全責任，是屬於使用雲服務的商業機構，因為這些遭外洩的資料屬於使用雲端服務的商業機構，而雲端服務本身的系統安全問題，則屬於雲端服務企業的責任。

江明灶觀察企業面對雲端服務制定的資安策略，發現企業展現5種不同的態度，分別是，首先，企業完全開放雲端服務，很多中小企業沒有做任何的雲端服務控制，採取無為而治的資安策略。其次，企業拒絕使用雲端服務，金融機構和政府的看法居多，都是對於雲端概念的不信任。第三，企業僅內部控制私有雲，部分企業只有管理員工在企業內部使用雲端服務，但是，有些員工會利用USB或行動裝置，竊取企業內部的機密資料，防範效果仍然有限。第四，企業完全聽從提供安全服務的廠商建議，因為很多中小企業沒有經費，可以與資安公司進行溝通協商，會購買固定套裝的資安防護服務，企業資安策略就被資安公司完全掌控。最後，企業主動積極參與制定資安策略，企業與資安公司共同評估企業內部的資安風險，來制定有效率的資安策略。

江明灶認為，企業面臨的資安威脅難以預料，所以企業需要提前準備來防範，首先，企業資安策略要達到可視化（Visibility）程度，了解企業內部的資安問題，再設想情境意識（Situation Awareness），讓企業員工清楚可能發生的資安威脅，才能夠知道如何抵禦威脅，最後企業依照資安風險的程度，安排優先防護的級別，並妥善利用企業資源來訂定防護策略。

江明灶認為，大多數企業在發生資安事件後，才把經費投資在資安防護，恐亡羊補牢為時已晚，所以，他強調企業在開發程式或系統時，需要將資訊安全在考慮範圍內，而不是企業受到攻擊後，才尋找安全解決方案。他舉例，蘋果推出某電子產品的時間，經常比其他廠商都還晚，但蘋果還是擁有許多消費者的愛戴，主要原因在於，蘋果堅持把產品做到質量最好的狀態才推出，才能得到消費者的信賴。企業資安防護能夠做好準備，也可以提供優質的產品和服務，來得到客戶的信賴。

政府不僅重視雲端資安，更要強化國家關鍵基礎設施和IoT裝置資安防護

一方面，企業使用雲端服務不僅降低了企業成本，還能提高企業的生產力，為企業帶來商機之外。另一方面，很多政府機構也開始推動雲端服務，如行政院在2012年投資70億打造政府雲、臺北市政府也在今年4月上線「地政雲」服務。

簡宏偉表示，他在推動電子化政府服務過程中，認為政府機構如果導入一套沒有以資訊安全為基底的系統，像在沙灘上蓋房子，都是不切實際，尤其政府機構導入雲端服務後，面對的資安威脅更複雜。

除此之外，簡宏偉提到，許多人過去認為有些國家關鍵基礎設施沒有連接網路，所以不會有資安的問題，但攻擊者可能利用含有惡意程式的USB，植入國家關鍵基礎設施的系統，以及原本規定無法上網的國家關鍵基礎設施，其內部資料卻在網路上暴露。因此，資安處在今年與專家學者共同合作，針對8大領域的國家關鍵基礎設施來建設相關安全防護措施。

不僅如此，由於物聯網（IoT）裝置在臺灣逐漸盛行，很多IoT裝置與人民的生活息息相關，為民眾帶來了便利，例如智慧電視、監視攝影機、智慧燈泡等，甚至國內某機車廠商，開發了一款App與機車連線，來設定機車的裝置，包括電燈亮度、儀表板色彩和檢視機車電池的容量等。

簡宏偉認為，IoT帶來的威脅也是與日俱增，駭客可以利用IoT裝置系統的安全漏洞，在遠端遙控車子引擎的開啟或關閉，造成的危險更嚴重。資安處目前與經濟部、通傳會正在擬定IoT裝置安全檢驗的規範，讓民眾可以在便利之餘，額外增加安全的保障。

（勘誤說明：原內文提到新加坡雲端產品需要取得MTCS安全認證才能夠使用，更改為MTCS是採取自願方式來取得認證。內文已更正。）